Imaginez la scène : un nouveau collaborateur arrive dans l’entreprise, c’est son premier jour. Et le service IT qui est là pour lui donner ses outils de travail (pc, téléphone…) lui donne son mot de passe d’ouverture de session… sur un bout de papier (je pourrais dire “post-it” mais il paraît qu’il ne faut pas citer de marques…).
Alors ça peut faire sourire : le budget de plusieurs dizaines voire centaines de milliers d’euros consacré chaque année à la cyber-sécurité, en achats de firewalls dernier cri, en pen-testing, en mise à jour antivirus, en suivi des mises à jour critiques des systèmes… tout ça fragilisé par un mot de passe inscrit sur un petit papier.
Evidemment ce n’est pas aussi simple : vous gérez évidemment correctement les paramétrage de sécurité sur votre infrastructure Active Directory ou LDAP, donc l’utilisateur devra changer son code d’accès à la première connexion, l’identifiant inscrit sur le post-it est donc un mot de passe à usage unique, ce qui limite le risque de fuite de ce dernier.
Il n’empêche que malgré les précautions prises, ce mode de fonctionnement pose 2 problèmes :
On peut faire une petite étude rapide : passez le soir après le départ de tout le monde et jetez un œil sur les bureaux des utilisateurs : je parie que vous retrouvez un “papier-password” collé sur un écran sur dix.
J’ai beau demander à tous les DSI que je rencontre, personne n’a de solution “miracle” pour communiquer un mot de passe de manière sécurisée. Chacun est à la recherche de solutions de sécurité informatique pour son entreprise mais il n’y a pas de réponse évidente à cette problématique.
Écrire (ou imprimer) un identifiant sur papier n’est évidemment pas le meilleur moyen pour communiquer un mot de passe. Certains services IT ont donc mis en place plusieurs stratégies :
Je rappelle l’importance de respecter les principes suivants :
Et bien sûr, il faut éduquer, former, sensibiliser… car c’est l’utilisateur final qui est le propre garant de ses identifiants. La sensibilisation à la sécurité des mots de passe est aussi l’affaire de tous mais c’est à l’entreprise d’introduire les bonnes pratiques et ce dès le premier jour.
Et vous quelles sont vos méthodes de transmission du mot de passe aux nouveaux arrivant dans votre entreprise ?
Avez-vous mis en place un guide ou une sensibilisation à la sécurité informatique ?